bg
Chcę wiedzieć o...
Strona główna
Bez kategorii
UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Dodano: 2024-12-03
Kategorie:

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyczących usług zaufania i identyfikacji elektronicznej. Wprowadzenie zmian ma na celu wyeliminowanie praktyki ujawniania numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego.

Problem ten został zgłoszony przez różne instytucje i organizacje, które korzystają z kwalifikowanego podpisu elektronicznego. Zgodnie z obecnymi praktykami, dostawcy takich usług pozyskują numer PESEL użytkownika, a następnie umieszczają go w certyfikacie, który jest publicznie dostępny. Co istotne, ani polskie, ani europejskie przepisy nie wymagają takiego działania.

Podstawą prawną regulującą stosowanie kwalifikowanego podpisu elektronicznego jest rozporządzenie eIDAS (Rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014) oraz polska ustawa o usługach zaufania i identyfikacji elektronicznej z 2016 roku. Według eIDAS, certyfikat powinien zawierać identyfikator z rejestru publicznego, który jednoznacznie identyfikuje osobę posługującą się podpisem elektronicznym. Jednak, zdaniem UODO, nie musi to być numer PESEL – równie dobrze można zastosować inny rodzaj identyfikatora.

Numer PESEL to unikalna dana osobowa przypisana obywatelowi, wykorzystywana głównie w relacjach z państwem. Oprócz jednoznacznego identyfikowania osoby, pozwala na ustalenie dodatkowych informacji, takich jak płeć czy wiek, co podnosi ryzyko nadużyć. Przepisy nie przewidują obowiązku umieszczania tej informacji w certyfikacie podpisu elektronicznego.

Zgodnie z RODO (art. 6 ust. 1 lit. c), przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy, gdy jest niezbędne do wypełnienia określonych obowiązków prawnych. O ile użycie numeru PESEL w procesie weryfikacji osoby składającej wniosek o certyfikat jest uzasadnione, o tyle jego ujawnianie w certyfikacie dostępnym publicznie budzi poważne wątpliwości.

Zmiana przepisów postulowana przez UODO miałaby na celu zwiększenie ochrony danych osobowych obywateli i zmniejszenie ryzyka ich nieuprawnionego wykorzystania. Wprowadzenie alternatywnego identyfikatora mogłoby w znacznym stopniu poprawić poziom bezpieczeństwa oraz zgodność z unijnymi standardami ochrony danych.

Artykuły powiązane

Kobiety chciały wyłudzić odszkodowanie z AC, ale…nie ubezpieczyły pojazdu

Policjanci z Gorzowa Wielkopolskiego zatrzymali dwie kobiety, które próbowały wyłudzić odszkodowanie, inscenizując kradz...

Kluczowe wyzwania polskiej prezydencji w Radzie UE z perspektywy sektora ubezpieczeniowego

Polska, obejmując prezydencję w Radzie Unii Europejskiej od 1 stycznia 2025 roku, stanie p...

Rynek ubezpieczeń komunikacyjnych po III kwartale 2024 roku – dane UFG

W okresie trzech pierwszych kwartałów 2024 roku zgłoszono ponad 1,4 miliona szkód z ubezpieczeń komunikacyjnych OC i AC...